NTLM リレー攻撃
NTLM リレー攻撃 とは何ですか?
NTLM リレー攻撃MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。
NTLM リレー攻撃は、NTLM 認証(MS-NLMP)のチャレンジ・レスポンス設計を悪用します。攻撃者は WebDAV、ファイル共有の UNC パス、または強制認証を用いて被害者ホストに攻撃者が制御するインフラへの認証を強要し、その被害者の NTLM メッセージを LDAP、SMB、ADCS の Web 登録、MSSQL などのターゲットサービスへ転送します。ターゲットはチャレンジを完了し、被害者の ID でアクセスを付与します。平文パスワードもハッシュも回収されないため、暗号的に署名されチャネルにバインドされたプロトコルだけがこれを防ぎます。
決定的な弱点は、NTLM 認証がそれを運ぶトランスポートにバインドされていないことであり、ある接続で有効なチャレンジ・レスポンスは他の任意の接続でも有効になります。Microsoft はこの設計そのものではなく、個々のリレー経路を 10 年以上にわたってパッチで塞いできました。**CVE-2019-1040(「Drop the MIC」)**では、攻撃者が NTLM_AUTHENTICATE メッセージから Message Integrity Check フィールドを除去でき、ntlmrelayx --remove-mic を介して SMB から LDAP/LDAPS へのクロスプロトコルリレーが再び可能になりました。強制認証ベクタは次々と現れています。PrinterBug(MS-RPRN)、PetitPotam(MS-EFSRPC、CVE-2021-36942、2021 年 8 月 10 日にパッチ)、DFSCoerce はいずれも、選択したホスト(多くはドメインコントローラ)を要求に応じて認証させます。強制したドメインコントローラのマシンアカウントを ADCS の Web 登録へリレーする(ESC8 手法)と、DC として認証する証明書が得られ、DCSync と完全なドメイン乗っ取りが可能になります。
flowchart LR
A[攻撃者] -->|"1. 強制 / ポイズニング<br/>PetitPotam, PrinterBug, LLMNR"| V[被害者ホスト]
V -->|2. NTLM_NEGOTIATE| A
A -->|3. ターゲットへリレー| T[("ターゲット: LDAP / SMB / ADCS")]
T -->|4. チャレンジ| A
A -->|5. チャレンジを転送| V
V -->|6. NTLM_AUTHENTICATE| A
A -->|7. 応答をリレー| T
T -->|8. 被害者としてアクセス許可| A緩和策:SMB 署名の強制、LDAP 署名とチャネルバインディング / Extended Protection for Authentication(EPA)の有効化、可能な箇所での NTLM 無効化、強制認証ベクタの修正(2025 年の SMB クライアントリフレクションのバグ CVE-2025-33073 を含む)。標準ツールは Impacket の ntlmrelayx です。
● 例
- 01
PetitPotam でドメインコントローラを強制認証させ、その NTLM 認証を ADCS にリレーして DC 証明書を取得する。
- 02
ワークステーションの NTLMv2 を xp_cmdshell 有効な MSSQL にリレーして RCE を得る。
● よくある質問
NTLM リレー攻撃 とは何ですか?
MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
NTLM リレー攻撃 とはどういう意味ですか?
MITRE T1557.001 に該当する中間者攻撃。被害者の NTLM 認証を別のサービスへ転送し、パスワードを知らないまま被害者になりすます。
NTLM リレー攻撃 からどのように防御しますか?
NTLM リレー攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NTLM リレー攻撃 の別名は何ですか?
一般的な別名: NTLM relaying, T1557.001。